Squid SSL Bump - ottenere "emittente sconosciuto" nonostante abbia certificato, ho bisogno di CA?

3

Sto usando pfSense sul gateway della mia rete. Ho configurato Squid e abilitato il filtraggio HTTPS. Ho creato la CA interna e configurato Squid per utilizzare questa CA interna per SSL Bump.

Ora il problema è quando cerco di accedere a qualsiasi sito, questo mostra un messaggio di avviso che il certificato non proviene da un emittente valido, "sec_error_unknown_issuer". Inoltre la maggior parte dei browser implementano HTTPS Strict (HSTS) in modo che non consentano l'apertura dei siti con il certificato non attendibile.

Ho acquistato un certificato del server e l'ho aggiunto alla CA, ma Squid non verrà nemmeno avviato.

Cosa dovrei fare? Devo aggiungere il certificato radice dell'autorità di certificazione o non posso ignorare questo messaggio di avviso. Per il bumping SSL tutto ciò che Squid deve fare è comportarsi come un server per il client e come client per il server.
Se genera un certificato per un determinato sito Web, allora non è logicamente possibile.

La mia domanda è come bypassare questo messaggio di avviso sul computer client. Ho provato ad aggiungere i certificati agli elenchi di Firefox, ma questo non aiuta a causa di HSTS.

    
posta shiv garg 22.06.2015 - 15:14
fonte

1 risposta

2

Devi aggiungere il certificato CA generato al tuo browser poiché Squid sta eseguendo MITM sulle tue connessioni https.

    
risposta data 22.06.2015 - 15:18
fonte

Leggi altre domande sui tag